Yeni bir fidye yazılımı grubu olan Cicada3301, karmaşık şifreleme teknikleriyle Windows ve Linux/ESXi ana bilgisayarlarını hedef alarak ortaya çıktı. İlk olarak Haziran 2024’te gözlemlenen grup, veri sızıntısı sitesinde birden fazla kurbanı listeleyerek hızla popülerlik kazandı.
Rust, Cicada3301 ESXi fidye yazılımını oluşturmak için kullanıldı ve yalnızca birkaç bilinen grup bu programlama dilinde yazılmış ESXi fidye yazılımını kullandı. Artık faaliyette olmayan Black Cat/ALPHV fidye yazılımı-hizmet-olarak grubu bu gruplardan biridir.
Saldırı, tehdit aktörünün ScreenConnect üzerinden erişim sağlamak için ya çalınan ya da kaba kuvvetle elde edilen meşru oturum açma bilgilerini kullanmasıyla başladı.
Fidye Yazılımı Hizmeti Olarak Platformu
Cicada3301, geleneksel bir fidye yazılımı hizmeti (RaaS) platformu olarak faaliyet gösteriyor ve iştiraklerine, verileri şifreleyip fidye ödenmediği takdirde bunları sızdırmakla tehdit ederek çift gasp araçları sunuyor.
Tuesec’in aktardığına göre grup, performansı ve güvenlik özellikleriyle bilinen Rust dilinde yazılmış fidye yazılımlarını kullanarak hem Windows hem de Linux/ESXi sistemlerini hedef alıyor.
Fidye yazılımı, Rust ile derlenmiş bir ELF ikili dosyasıdır, özellikle 1.79.0 sürümü. Rust’ın kullanımı, ikili dosyanın .comment bölümünün incelenmesi ve Rust’ın derleme sistemi Cargo’ya yapılan dize referanslarıyla doğrulanır.
Fidye yazılımı, ALPHV gibi önceki fidye yazılımlarıyla uyumlu bir seçim olan ChaCha20 şifreleme algoritmasını kullanıyor ve bu da ikisi arasında olası kod benzerlikleri veya ortak geliştiriciler olduğunu gösteriyor.
İşlevsellik ve Parametreler
Fidye yazılımının ana işlevi, linux_enc
Linux/ESXi sistemlerinde verileri şifrelemek için tasarlanmıştır. Çalışmasını özelleştirmek için birkaç parametre kabul eder:
- UI Parametresi: Şifreleme ilerlemesini ve istatistiklerini gösteren grafiksel bir çıktı sağlar.
- No_VM_SS Parametresi: Sanal makineleri kapatmadan dosyaları şifreler, anlık görüntüleri silmek için ESXi komutlarını kullanır.
- Anahtar Parametre: İşlem için gereklidir; geçerli bir anahtar olmadan fidye yazılımı çalışmayacaktır.
Fidye yazılımı, OsRng rastgele sayı üretecini kullanarak simetrik bir anahtar üretir, dosyaları ChaCha20 ile şifreler ve ardından ChaCha20 anahtarını güvenli depolama için RSA ile şifreler. Fidye yazılımı notu, her şifrelenmiş dosyanın dizininde oluşturulur ve “RECOVER-” kuralı kullanılarak adlandırılır.[extension]-DATA.txt”.
Cicada3301’in ilk saldırı yöntemi, ScreenConnect gibi araçlar aracılığıyla sistemlere erişmek için genellikle kaba kuvvet veya hırsızlık yoluyla elde edilen geçerli kimlik bilgilerini kullanmayı içeriyor.
Bu aktivitelere bağlı IP adresi, parola tahmin kampanyalarıyla bilinen Brutus botnet’iyle ilişkilidir. Bu bağlantı, Cicada3301’in iflas etmiş BlackCat/ALPHV grubunun yeniden markalanmış bir versiyonu olabileceği veya en azından bazı kaynaklarını veya geliştiricilerini paylaşabileceği olasılığını gündeme getiriyor.
Cicada3301, gelişmiş şifreleme teknikleri ve birden fazla işletim sistemini hedefleme yeteneği nedeniyle önemli bir tehdit oluşturmaktadır. Kuruluşların, fidye yazılımı saldırıları riskini azaltmak için düzenli veri yedeklemeleri, ağ segmentasyonu ve çalışan eğitimi gibi siber güvenlik önlemlerini güçlendirmeleri önerilir.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial